Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Preparing For The Security Audit
Preparing For The Security Audit
El buen gobierno de las TI se basa en procesos de alta calidad, bien definidos y repetibles, que tienen
que estar adecuadamente documentados y comunicados, y requiere la participacin y compromiso de la
gerencia y de los profesionales de TI y seguridad. Una forma de examinar si una empresa tiene un programa eficaz de buen gobierno de las TI es comprobando que la gerencia ha establecido objetivos, polticas y procedimientos claros y que la gestin de las TI est basada en el uso de marcos de actuacin,
herramientas o buenas prcticas eficaces. Existen muchos marcos de actuacin y buenas prcticas que
pueden ayudar a las empresas en su gestin de las TI. Algunos de los modelos ms conocidos son la IT
Infrastructure Library de la Office of Government Commerce del Reino Unido, los Control Objectives for
Information and related Technology de ISACA y el estndar 17799: 2005 de la International Organization
for Standardization.
Adems, al evaluar la eficacia de las prcticas existentes de buen gobierno de las TI, los auditores deberan estar atentos a las siguientes llamadas de atencin: ausencia a nivel general de la empresa de controles internos o de un programa formal de gestin del riesgo e ineficacia en los procesos de preparacin
y publicacin de informes financieros de TI. Los auditores de TI deberan fijarse en el nivel de conocimiento de la junta directiva o el comit de auditora del panorama actual de seguridad de las TI de la organizacin y si el departamento de TI es incapaz de determinar si la informacin almacenada en un sistema ha sido alterada o si se ha respetado correctamente su periodo de retencin. Aunque estos indicadores no sean los nicos que los auditores internos deberan considerar, representan algunos de los
problemas principales que afectan a las organizaciones sin un programa eficaz de buen gobierno de las
TI.
IDENTIFICANDO RIESGOS Y VULNERABILIDADES DE SEGURIDAD
En el entorno de seguridad existente, el auditor principiante no debera escatimar esfuerzos en comprender las diferentes amenazas de seguridad que puedan afectar a los activos de TI de la organizacin. Al
examinar el entorno de seguridad, el auditor probablemente se encontrar con uno de los siguientes escenarios:
Escenario 1: los controles de seguridad de las TI tratan adecuadamente los riesgos y vulnerabilidades de activos de TI. Pueden ser necesarias leves modificaciones para incrementar la eficiencia de los controles existentes.
Escenario 2: la empresa carece de una verdadera infraestructura de seguridad. Por tanto, como
cualquier recomendacin ser implementada por primera vez, la organizacin no tendr la sensacin de estar reinventando la rueda o gastando dinero adicional para rehacer controles ya establecidos.
Escenario 3: el auditor se encuentra con una infraestructura de seguridad actual que no protege
adecuadamente los activos de TI debido a una mala configuracin, monitorizacin o gestin. El
auditor tiene entonces que identificar los niveles de riesgo actuales, su posible impacto y proporcionar recomendaciones. De esta manera, la organizacin tiene que emplear tiempo y recursos
adicionales para cumplir con las recomendaciones de la auditora.
Los escenarios 2 y 3 suelen crear las mayores dificultades a los auditores principiantes, debido al nivel
de conocimientos necesario para dar recomendaciones de seguridad eficaces. Cuando se encuentra con
una empresa que carece de una infraestructura de seguridad adecuadamente establecida (es decir, escenario 2), el auditor puede usar el siguiente plan de accin para explicar el panorama de la seguridad y
justificar la inversin en una infraestructura correcta:
Recomendar la realizacin de una evaluacin de riesgos para determinar el valor de los activos
de TI. Esto permitir a la gerencia comprender las diferentes amenazas de seguridad que pueden afectar o estn afectando al negocio.
Recomendar que el departamento de TI instale herramientas de red pasivas para demostrar la
frecuencia de intentos de acceso remoto y sondeos externos. Esto ayudar a los responsables a
obtener un conocimiento profundo de la topologa de red (es decir, qu servicios estn disponi-
Cuando se auditen organizaciones con una infraestructura de seguridad que no protege los activos de TI
adecuadamente (es decir, escenario 3), los auditores pueden recomendar que el departamento de TI:
Corra una herramienta de escaneo de vulnerabilidades en la red desde fuera de la zona desmilitarizada (DMZ) del cortafuegos para identificar cualquier vulnerabilidad de seguridad.
Realice una evaluacin de vulnerabilidades de red y remita el informe a la gerencia. El informe
debera explicar todas las amenazas de seguridad de las TI y sus impactos, as como exponer
cualquier brecha y debilidad de seguridad en la infraestructura de TI.
Si la organizacin no tiene los conocimientos para realizar un test de vulnerabilidad, debera contratar a
un experto o usar herramientas de escaneo para detectar cualquier vulnerabilidad del sistema. En cualquier caso, el personal de TI que use dichas herramientas debe tener un profundo conocimiento de cmo
usarlas para obtener los mejores resultados.
LO SIGUIENTE AUDITAR LA IMPLEMENTACIN DE SEGURIDAD PERIMETRAL
La alta direccin estar ms abierta a aceptar recomendaciones de auditora si los auditores documentan
antes la necesidad de la organizacin de incrementar sus esfuerzos en seguridad de las TI. En cualquier
caso, documentar la eficacia de las medidas de seguridad perimetral es tambin importante para asegurar que las recomendaciones de la auditora se implementadas adecuadamente. Puesto que muchas organizaciones usan la seguridad perimetral como su lnea de defensa principal frente a amenazas externas, los auditores principiantes necesitan familiarizarse con cmo identificar problemas normales durante
y despus del proceso de implantacin de seguridad perimetral.
Segn SANS Institute, una organizacin de formacin e investigacin, algunos de los problemas ms
habituales que se encuentran las empresas durante el proceso de implantacin de seguridad perimetral
son los siguientes:
La direccin y el personal de TI piensan que, una vez que est instalado un cortafuegos, tienen
suficiente seguridad y no hay necesidad de revisiones y controles de seguridad adicionales en la
red interna.
Existen lneas analgicas y mdems para conectarse a un proveedor de Internet o tener acceso
telefnico a sistemas, pasando por alto, por tanto, las medidas de seguridad perimetrales.
Se permite el paso sin comprobacin a travs de los puntos de control de seguridad perimetral
de servicios de red de sistemas internos.
Cortafuegos, hosts o routers aceptan conexiones de mltiples hosts de la red interna y de hosts
de la red DMZ.
Los auditores noveles que identifiquen cualquiera de las reas de riesgo mencionadas deberan recomendar a las organizaciones la adquisicin de herramientas de seguridad que ayuden a evaluar la fortaleza de la red y a detectar vulnerabilidades y reas de riesgo de la misma. Algunas de las herramientas
disponibles para diversas actividades incluyen software de auditora basado en mquina, herramientas
de anlisis de trfico de red y deteccin de intrusiones, programas de gestin y mejora de la seguridad y
software de auditora y encriptacin basado en red.
TRABAJANDO CON LA ALTA DIRECCIN
Adems de identificar vulnerabilidades de red o proporcionar orientacin en cuanto a seguridad perimetral, los auditores de TI principiantes podran terminar trabajando con altos directivos para ayudar a
maximizar la implementacin de las recomendaciones de la auditora. Como consecuencia, los auditores
necesitan estar atentos a cualquier conducta de los directivos que pueda afectar a los esfuerzos de la
organizacin en la seguridad de las TI y, por tanto, a la aceptacin de los resultados de la auditora.
Primeramente, los auditores necesitan asegurarse de que la gerencia entiende la relacin entre las necesidades de negocio y la seguridad de las TI. Cuando la gerencia sabe qu riesgos se relacionan con
fines y objetivos de negocio especficos, puede empezar a entender dnde son necesarias inversiones.
Como la seguridad de las TI tiene que centrarse en mitigar riesgos del negocio, los auditores tienen que
ayudar a la direccin a establecer esta conexin. Otros comportamientos que deben vigilarse incluyen:
Cuando se encuentran con cualquiera de los puntos mencionados, los auditores podran recomendar
que la gerencia apoye la implantacin de las siguientes buenas prcticas para asegurar la creacin de
una infraestructura de seguridad ms eficaz:
Conseguir el apoyo de la alta direccin para las iniciativas de seguridad de las TI y asegurar que
la gerencia entiende las necesidades de seguridad del negocio y los procesos necesarios para
cubrir dichas necesidades.
Reservar todos los aos un fondo para contingencias, con el fin de financiar cualquier problema
imprevisto en la infraestructura de seguridad. El proceso de gestin del riesgo debera ser utilizado todo lo posible para identificar qu necesita ser tratado a travs del proceso presupuestario
normal.
Disear, establecer y hacer cumplir una poltica de seguridad escrita que sea adoptada en toda
la empresa y que enumere procedimientos claros para apoyar los objetivos de seguridad de las
TI de la organizacin.
Impartir formacin frecuente y obligatoria a todos los empleados relativa a la concienciacin en
seguridad.
Definir las funciones y responsabilidades del personal clave de seguridad.
Desarrollar un sistema de gestin de controles de seguridad de las TI y crear sistemas de medida para medir y reportar la efectividad de dichos controles a la gerencia.
Disear una planificacin a corto y medio plazo detallando cmo implementar mejoras en la infraestructura de seguridad.
Adquirir las herramientas de auditora de seguridad basadas en red necesarias para mejorar el
rendimiento de los controles internos.
Contratar un equipo especializado, con probados conocimientos de seguridad de las TI, o asegurar que los empleados de seguridad son lo suficientemente expertos para asumir las funciones y
responsabilidades asignadas.
Tener en mente estos puntos ayudar a los auditores principiantes a trabajar con la gerencia de una forma ms productiva y cooperativa, romper cualquier estereotipo que impida la implementacin de controles de seguridad y ayudar a las organizaciones a estar encaminadas hacia un entorno de TI ms seguro.
SEGURIDAD TI MS QUE USAR HARDWARE Y SOFTWARE
Examinar los esfuerzos en seguridad de una empresa es un componente importante del proceso de auditora de las TI. Saber qu hacer antes de la auditora, identificar riesgos y vulnerabilidades de seguridad, auditar medidas de seguridad perimetral y trabajar con la gerencia son todos componentes esenciales de una auditora de seguridad eficaz. Sin embargo, la seguridad es slo tan fuerte como el ms dbil
de los eslabones de la organizacin. Como resultado de ello, el papel de los auditores internos es crucial
para asegurar que los activos de TI estn protegidos y asegurados adecuadamente. La seguridad de las
TI exige, por tanto, ms que el uso de hardware y software: las organizaciones deben tener la actitud correcta y establecer el tono adecuado en los niveles ms altos para que la seguridad funcione. Sin esta
actitud correcta, es ms probable que los esfuerzos futuros en seguridad fracasen, y las organizaciones
estarn siempre un paso por detrs en sus actividades de seguridad de las TI.
Lakshmana Rao Vemuri, CISA, es consultor snior de seguridad en Paladion Networks (India). Previamente a su actividad como consultor de seguridad, fue Director de TI de un banco del sector pblico en
la India. Vemuri trabaja en el sector bancario desde hace 23 aos y es miembro colegiado del Indian Institute of Bankers. Tambin es profesor invitado en el Institute of Chartered Accountants of India [Instituto
de Censores Jurados de Cuentas de la India] en el Programa de Auditora de Sistemas de Informacin.
Se le puede contactar en vemuri_rao@yahoo.com.
__________________________________________________
Originally published in ITAudit, Vol. 9, April 10, 2006, published by The Institute of Internal Auditors Inc., www.theiia.org/itaudit.
Translation into Spanish made by www.iso27000.es with the express authorization from
the author Lakshmana Rao Vemuri and ITAudit.
For any comments on contents or further distribution, please get in contact with ITAudit,
www.theiia.org/itaudit.
For any comments on the Spanish translation, please get in contact with
www.iso27000.es.
__________________________________________________
Originalmente publicado en ITAudit, Vol. 9, 10 de Abril de 2006, publicada por The Institute of Internal Auditors Inc., www.theiia.org/itaudit.
Traduccin al espaol realizada por www.iso27000.es con autorizacin expresa del autor Lakshmana Rao Vemuri y de la publicacin ITAudit.
Para cualquier comentario sobre el contenido o su distribucin, contacten por favor con
ITAudit, www.theiia.org/itaudit
Para cualquier comentario
www.iso27000.es
sobre
la
traduccin,
contacten
por
favor
con